Richtlinien von Atlassian für Anfragen von Strafverfolgungsbehörden
Aktualisierte Richtlinie gültig ab 5. November 2021
Atlassian-Richtlinie zum Umgang mit Anfragen von Strafverfolgungs- oder öffentlichen Behörden
Atlassian entwickelt Softwaretools, mit denen Teams in einer Online-Plattformumgebung zusammenarbeiten können. Diese Richtlinien enthalten Informationen für Strafverfolgungsbehörden, die als Reaktion auf ein gültiges rechtliches Verfahren in Übereinstimmung mit unseren Datenschutz- und Nutzungsrichtlinien Kundenkontodaten und Kundeninhalte ("Kundeninformationen") von Atlassian anfordern. Atlassian beachtet die Regeln und Gesetze der Gerichtsbarkeit, in der es tätig ist, sowie die Privatsphäre und die Rechte seiner Kunden. Bei Anfragen von Strafverfolgungs- oder anderen öffentlichen Behörden geben wir Kundeninformationen deshalb nur weiter, wenn wir Grund zu der Annahme haben, gesetzlich dazu verpflichtet zu sein. Zum Schutz der Rechte unserer Kunden unterziehen wir entsprechende Anfragen einer sorgfältigen Prüfung, um ihre Rechtmäßigkeit sicherzustellen und zu gewährleisten, dass der jeweilige Anfragesteller gesetzlich zur Anforderung der Daten befugt ist.
Wenn Strafverfolgungsbeamte und Beamte von anderen öffentlichen Behörden Kundeninformationen von Atlassian anfordern, sind sie verpflichtet, je nach Art der Informationen angemessene rechtliche Verfahren einzuhalten und etwa eine Vorladung, eine gerichtliche Anordnung oder einen Haftbefehl vorzuweisen. Atlassian gibt beispielsweise keine nichtöffentlichen Kundeninhalte heraus, sofern kein rechtskräftiger Durchsuchungsbefehl vorliegt, der aufgrund nachweislich hinreichenden Verdachts von einem befugten Bundes- oder Landesgericht ausgestellt wurde und Atlassian dazu verpflichtet, besagte Inhalte preiszugeben. Bitte lies diese Richtlinien, bevor du eine Strafverfolgungsanfrage an Atlassian stellst.
Atlassian prüft alle behördlichen Anfragen nach Daten. Atlassian legt Datenanfragen eng aus und versucht Anfragen zu begrenzen oder zu widersprechen, die unpräzise formuliert sind oder große Mengen an Informationen verlangen oder eine große Benutzeranzahl betreffen. Atlassian lehnt darüber hinaus Anfragen ab, wenn die Wiedergabe der Daten verboten ist oder wenn der vorgebrachte Grund zur Herausgabe der angefragten Daten gemäß Electronic Communications Privacy Act 18 U.S.C § 2701 ff. oder anderen geltenden Gesetzen nicht ausreichend ist, um diese Daten herauszugeben. Atlassian behält sich das Recht vor, gegen jede Anforderung von Informationen Widerspruch einzulegen, sofern möglich, und legt die angeforderten Informationen erst offen, wenn dies gemäß den geltenden Verfahrensregeln erforderlich ist.
Diese Richtlinien dienen lediglich der Information und begründen weder Verpflichtungen noch den Verzicht auf Einwände, wie Atlassian in einem bestimmten Fall oder auf eine bestimmte Anfrage reagieren wird. Atlassian behält sich das Recht vor, gegebenenfalls eine Erstattung der Kosten zu verlangen, die mit der Beantwortung von Datenanfragen von öffentlichen oder Strafverfolgungsbehörden verbunden sind.
Richtlinie zur Benutzerinformation
Die Richtlinie von Atlassian sieht vor, Kunden über Anfragen nach ihren Kundendaten zu benachrichtigen und ihnen die Möglichkeit zu geben, der Offenlegung 7–10 Tage vor Lieferung der Daten zu widersprechen, es sei denn, eine solche Benachrichtigung ist gesetzlich verboten. Dies beinhaltet Fälle, in denen Atlassian keinen Erlass eines solchen Verbots erwirken konnte. Atlassian kann die Benachrichtigungsfrist nach eigenem Ermessen verkürzen, tut dies jedoch in der Regel nur in Notfällen. Beamte öffentlicher Behörden oder Strafverfolgungsbeamte, die der Meinung sind, dass eine solche Benachrichtigung die Untersuchung gefährden würde, müssen eine geeignete gerichtliche Anordnung oder ein anderes Verfahren einholen, das die Kundenbenachrichtigung ausdrücklich verbietet, z. B. eine unter 18 U.S.C. § 2705 (b) erlassene Anordnung.
Sollte Atlassian infolge deiner Anfrage bekannt werden, dass ein Verstoß gegen unsere Nutzungsrichtlinien vorliegt oder vorgelegen hat, ergreifen wir Maßnahmen, um weitere Verstöße zu verhindern, einschließlich der Kontokündigung und anderer Maßnahmen, die den Benutzer darüber informieren können, dass uns das Fehlverhalten bekannt ist. Wenn du glaubst, dass die Durchführung solcher Maßnahmen eine laufende Untersuchung gefährden könnte, kannst du beantragen, dass Atlassian diese Maßnahme hinsichtlich deiner Anfrage aufschiebt. Atlassian bewertet solche Anfragen von Fall zu Fall. Es liegt in der Verantwortung des anfragenden Strafverfolgungsbeamten, diese Anfrage zu stellen, da es die Richtlinien von Atlassian vorsehen, seine Nutzungsbedingungen durchzusetzen.
Einreichung gültiger Anfragen von Strafverfolgungsbehörden und Kontaktinformationen
E-Mail-Adresse für Fragen von Strafverfolgungsbehörden und zur Einreichung eines Rechtsprozesses:
Postanschrift für Anfragen von Strafverfolgungsbehörden:
Atlassian Inc.
Attn: Legal Department
350 Bush Street, Floor 13
San Francisco, CA, 94104
USA
Obwohl wir uns damit einverstanden erklären, Anfragen von öffentlichen und Strafverfolgungsbehörden wie beschrieben entgegenzukommen, verzichten weder Atlassian noch unsere Kunden auf die mit diesem Entgegenkommen verbundenen gesetzlichen Rechte.
Jede Anfrage muss Kontaktinformationen des Beamten der öffentlichen oder Strafverfolgungsbehörde enthalten, der den Antrag einreicht, einschließlich:
- Name der anfragenden Behörde
- Name des anfragenden Behördenmitarbeiters sowie Ausweis-/Identifikationsnummer
- Vom Arbeitgeber ausgestellte E-Mail-Adresse des anfragenden Behördenmitarbeiters
- Telefonnummer (ggf. einschließlich Durchwahl) des anfragenden Behördenmitarbeiters
- Postanschrift des anfragenden Behördenmitarbeiters (Postfächer sind unzulässig)
- Angefragtes Antwortdatum (Informationen zu Notfallanfragen siehe unten)
Bitte beachte, dass Anfragen hinsichtlich einer Zeugenaussage persönlich an unseren registrierten Beauftragten für gerichtliche Zustellungen zugestellt werden müssen. Wir akzeptieren keine Anfragen, die persönlich oder per E-Mail erfolgen.
Verfügbare Atlassian-Kundeninformationen
Atlassian bietet auf seiner Plattform eine Vielzahl von Softwaretools an, die Kundeninformationen enthalten. Darüber hinaus pflegt Atlassian bestimmte Kundeninformationen in internen Systemen für reguläre Geschäftsprozesse. Atlassian überprüft und beantwortet die Anforderung von Kundeninformationen im Rahmen von Haftbefehlen, gültigen, durchsetzbaren Anfragen seitens Behörden und/oder gerichtlichen Anordnungen, abhängig von der Art der angeforderten Informationen, vorausgesetzt, Atlassian konnte feststellen, dass die jeweilige Behörde oder Strafverfolgungsbehörde zur Anforderung dieser Informationen befugt ist.
Zu den grundlegenden Kundeninformationen, die von Strafverfolgungsbehörden angefragt werden können, zählen zum Beispiel E-Mail-Adressen, Namen, Telefonnummern, Benutzernamen und/oder Rechnungskontaktinformationen (in Verbindung mit kostenpflichtigen Konten). Es können auch zusätzliche Informationen zu IP-Adressen, Transaktionsaufzeichnungen und anderen Kundendatensätzen bereitgestellt werden.
Welche Kundeninformationen einer Strafverfolgungsbehörde preisgegeben werden können, hängt davon ab, welches Atlassian-Produkt vom Kunden verwendet wird, über den die Strafverfolgungsbehörde Informationen einholt. Wir empfehlen Strafverfolgungsbehörden, die eine Anfrage bezüglich Atlassian-Kundeninformationen stellen, unsere Produktbeschreibungen zu lesen, bevor sie ein rechtliches Verfahren einleiten und eine Anfrage, Anordnung oder einen Haftbefehl einreichen. Beispielsweise unterstützt Trello Teams dabei, Informationen zu organisieren. Zu den verfügbaren Kundeninformationen, die Trello betreffen, gehören neben grundlegenden Kontoinformationen auch Informationen zum IP-Zugriff, Informationen zu Board-Mitgliedern und/oder -inhalten. Ein anderes Beispiel ist Bitbucket, das die Teamzusammenarbeit bei der Codeentwicklung erleichtert. Zu den verfügbaren Kundeninformationen, die Bitbucket betreffen, gehören neben grundlegenden Kontoinformationen das Datum, an dem ein Benutzer das Bitbucket-Konto erstellt und auf dieses zugegriffen hat, IP-Adressen, die mit Anmeldungen bei einem Benutzerkonto verknüpft sind, Teammitgliedschaften und Quellcode (Inhalte), der in einem Bitbucket-Repository gespeichert ist.
Aufbewahrungsanfragen von Strafverfolgungsbehörden
Atlassian bewahrt Kundeninformationen nach Erhalt einer gültigen Strafverfolgungsanfrage 90 Tage lang auf. Nach Erhalt einer gültigen Anfrage zur Aufbewahrungsverlängerung bewahrt Atlassian Informationen weitere 90 Tage auf. Wenn vor Ablauf der Aufbewahrungsfrist kein formelles rechtliches Verfahren für die aufbewahrten Informationen bei Atlassian eingeht, können diese nach Ablauf der Aufbewahrungsfrist gelöscht werden.
Aufbewahrungsanfragen müssen auf einem offiziellen Briefkopf der Strafverfolgungsbehörde eingereicht und von einem Strafverfolgungsbeamten unterzeichnet werden. Sie müssen Folgendes enthalten:
- Die unten aufgeführten relevanten Kontoinformationen des Kunden, dessen Informationen aufbewahrt werden sollen;
- Eine gültige E-Mail-Adresse für die Rücksendung
- Eine Erklärung darüber, dass für die aufzubewahrenden Daten Schritte für eine gerichtliche Anordnung oder ein anderes rechtliches Verfahren unternommen worden.
Aufbewahrungsanfragen können an die oben angegebenen Kontaktinformationen (Postanschrift oder E-Mail-Konto) gesendet werden.
Kundeninformationen von Atlassian anfordern
Bei einer Anfrage nach Kundeninformationen sollten Anforderer von Strafverfolgungsbehörden so viele der folgenden Informationen bereitstellen wie möglich. Die Bereitstellung dieser Informationen erleichtert es Atlassian, effektiv und zeitnah zu reagieren:
- Grundlegende Kundenkontoinformationen (Atlassian-Systeme): Benutzername, E-Mail-Adresse, URL, Support Entitlement Number (SEN)
- Kundeninformationen zu Atlassian-Produkten:
- Für Anfragen von Strafverfolgungsbehörden erforderliche Informationen zu Atlassian-Produkten
- Bamboo
E-Mail-Adresse - Bitbucket Cloud
Benutzername, Teamname, E-Mail-Adresse und/oder Repository-URL - Confluence
Benutzer-ID, E-Mail-Adresse, IP-Adresse, URL, SEN - Crucible
E-Mail-Adresse - Fisheye
E-Mail-Adresse - Jira (Core, Service Management oder Software)
Benutzername, E-Mail-Adresse, URL, SEN - Loom
E-Mail-Adresse - Sourcetree
E-Mail-Adresse - Statuspage
E-Mail-Adresse, URL der Statusseite - Trello
Benutzername, E-Mail-Adresse, URL (für Board(s))
- Bamboo
Anfragen von internationalen Strafverfolgungs- und öffentlichen Behörden
Das US-amerikanische Recht gestattet Atlassian, auf Kundeninformationsanfragen von ausländischen Strafverfolgungsbehörden zu antworten, die entweder im Rahmen einer MLAT-Anfrage (Mutual Legal Assistance Treaty) oder eines Rechtshilfeersuchens über ein US-amerikanisches Gericht ausgestellt wurden. Grundsätzlich beantworten wir ordnungsgemäße, gerichtlich angeordnete Anfragen nur unter der Voraussetzung, dass sie ordnungsgemäß zugestellt wurden, einen angemessenen Rahmen einhalten, in den Zuständigkeitsbereich der anfragenden Stelle oder Behörde fallen und den anwendbaren Rechtsvorschriften entsprechen. Atlassian prüft Notfallanfragen ausländischer Strafverfolgungsbehörden von Fall zu Fall, was dem US-amerikanischen Recht und, falls zutreffend, den Gesetzen anderer Länder entspricht. Notfallanfragen können über das unten beschriebene Verfahren direkt an Atlassian gerichtet werden.
Notfallanfragen
Atlassian bewertet Notfallanfragen von Fall zu Fall. Wenn uns Informationen bereitgestellt werden, die uns davon überzeugen, dass ein Notfall vorliegt, der eine unmittelbare Todesgefahr oder schwere körperliche Verletzungen nach sich ziehen könnte, können wir, falls uns dies möglich und mit dem gelten Recht vereinbar ist, Informationen zur Verfügung stellen, die nötig sind, um diesen Schaden zu verhindern.
Notfallanfragen können per E-Mail an lawenforcement@atlassian.com mit der Betreffzeile "Emergency Disclosure Request" (Notfallanfrage zur Offenlegung) unter Verwendung dieses Formulars eingereicht werden.